Скачать 6.43 Mb.
|
Настройка сервера OpenLDAP для аутентификации пользователейЧасто возникает необходимость в организации централизованной базы данных пользователей для нескольких компьютеров в сети. Существовавший ранее подход для решения этой задачи состоял в использовании системы NIS. Современный подход заключается в использовании LDAP. Удобство этого варианта состоит в том, что в отличие от NIS, служба LDAP позволяет провести аутентификацию пользователей не только для доступа к сеансу Linux, но и для доступа к сеансам различных служб, например, для доступа к Web-серверу. Клиентские программы LDAP будут запрашивать у LDAP-сервера следующую информацию, необходимую для аутентификации: □ имена компьютеров; □ имена и идентификационную информацию о пользователях; □ группы пользователей; □ адреса электронной почты пользователей и другую информацию" справочного характера. Для организации аутентификации с помощью LDAP необходимо установить пакеты сверх стандартной установки, называющиеся обычно: □ nss_ldap – библиотека, позволяющая использовать сервер LDAP подобно серверу NIS для аутентификации; □ pam_idap – модуль РАМ для аутентификации в LDAP. Передать информацию из файлов /etc/hosts,/etc/passwd и прочих в базу данных LDAP можно, используя специально разработанные сценарии, основанные на командах ldapadd ИЛИ slapadd. Такие программы уже имеются, например, пакет openldap-migration, содержащий несколько программ на языке Per!. Далее приведен пример 32.14 конфигурационного файла slapd.conf сервера LDAP, обеспечивающего аутентификацию. Пример 32.19. Минимальная конфигурация slapd.conf сервера аутентификации Пароль администратору LDAP следует установить с помощью команды slappasswd (пример 32.20). Пример 32.20. Команда slappasswd Команда предложит ввести пароль с клавиатуры и выдаст зашифрованный пароль в стандартный поток вывода. Перед переносом данных из системных файлов в базу данных LDAP с помощью пакета openldap-migration следует перейти в каталог /usr/share/openldap/migration и настроить установки в файле migrate_common.ph, как показано в примере 32.21. Пример 32.21. Настройки в migrate_common.ph Параметр EXTENDEP_SCHEMA требуется для переноса объектов идентификационной информации. Однако при переносе данных учетных записей пользователей из файлов /etc/passwd и /etc/shadow может возникнуть ситуация, при которой этот параметр должен быть установлен в ноль из-за ошибок переноса. Установка DEFAOLT_MAIL_HOST должна соответствовать имени почтового сервера. Собственно миграция может быть осуществлена как в режиме on-line, так и off-line. Можно производить миграцию в LDAP лишь нужных системных файлов, либо произвести ее целиком. Для полной автоматической миграции в режиме off-line используется скрипт migrate_all_offline.sh, а для миграции в режиме on-line, соответственно, migrate_all_online.sh. Задания • Остановите сервер slapd и очистите его базу данных, удалив все файлы в соответствующем каталоге. • Проведите миграцию в режиме off-line. Если при миграции возникнут сложности, например с файлом /etc/services, создайте его резервную копию и переименуйте записи, встречающиеся (по мнению программы миграции) несколько раз. Возможно, процедуру миграции придется повторить несколько раз. Не забывайте очищать базу данных после каждой неудачной попытки. • Установите права владения на файлы базы данных, соответствующие пользователю, от имени которого запускается slapd (обычно пользователь ldap), и запустите сервер. Настройка аутентификации пользователей на сервере LDAPКонфигурационным файлом клиентов LDAP nss_ldap и pam_ldap, необходимых для аутентификации, является /etc/ldap.conf. Клиентские утилиты LDAP, например, ldapsearch имеют свой файл конфигурации –/etc/openldap/ldap.conf Далее приводится пример 32.22 конфигурации клиентской части LDAP на той же машине, где запущен сервер LDAP. Пример 32.22. Минимальные настройки /etc/ldap.conf Файл конфигурации NSS (Name Service Switch)/ etc/nsswitch.conf должен содержать настройки, позволяющие использовать LDAP для аутентификации (пример 32.23). Пример 32.23.Настройки в etc/nsswitch.conf Такие настройки обеспечивают первоочередной поиск информации в локальных файлах, и только в случае отсутствия искомой информации там будет производиться обращение к LDAP. После настройки NSS на использование LDAP в файле /etc/hosts могут быть оставлены только записи для localhost и для LDAP-сервера. Для проверки работоспособности NSS после настройки нужно исследовать данные, выводимые командой getent (пример 32.24). Пример 32.24. Команда getent Следует особо отметить, что команда getent shadow должна быть выполнена с правами суперпользователя, в противном случае она ничего не выведет. Информация, хранимая в локальных файлах, должна быть выведена в первую очередь. В конце списков должны указываться элементы, содержащиеся в службе каталогов. Для систем, использующих централизованный файл настроек РАМ для авторизации /etc/pam.d/system-auth, в этом файле можно установить следующие настройки, показанные в примере 32.25. В RH-системах сделать эти настройки очень просто, если воспользоваться командой setup, в которой можно настроить параметры аутентификации на LDAP. Пример 32.25. Настройки РАМ для аутентификации в LDAP Задания • Проверьте наличие пакета nss_ldap и изучите его состав. Если его нет – установите. • Настройте файл/etc/ldap.conf для аутентификации на сервере ШАР, запущенном на локальной машине. • Настройте РАМ для аутентификации в LDAP. Если вы используете RH-систему, то проще всего это сделать командой setup. • Командой getent проверьте возможность получения аутентификационной информации от LDAP. Защита LDAPУгрозы информации, хранимой в LDAP, в наиболее общем виде: □ неавторизованная выборка информации в службе каталогов; □ неавторизованный доступ к используемой повторно авторизационной информации клиентов; □ несанкционированный доступ к данным путем мониторинга сеансов доступа других пользователей; □ неавторизованная модификация данных; □ несанкционированное изменение конфигурации системы; □ неразрешенное или излишне интенсивное использование ресурсов (отказ в доступе – Denial of Service); □ изменение информации, передаваемой клиенту во время сеанса работы с LDAP, перенаправление информации, а также замена источника информации (LDAP spoofing). Протокол LDAP может быть защищен с помощью следующих механизмов: □ аутентификация клиентов посредством SASL (Simple Authentication and Security Layer), возможно, с использованием доверительного механизма обмена TLS; □ авторизация пользователей с предоставлением доступа при подтверждении их аутентичности; □ защита целостности данных с использованием TLS или SASL; □ защита от подмены данных с использованием механизмов шифрования SASL; □ ограничения доступа; □ аутентификации серверов LDAP. Идентификатор авторизации пользователя (authorization ID) является синонимом UID (user ID) и применяется для определения прав доступа пользователя к тому или иному ресурсу. Идентификатор аутентичности пользователя (authentication ID) применяется для проверки, является ли пользователь тем, за кого он себя выдает. Задания • Проверьте, установлены ли в вашей системе пакеты openssl и cyrus-sasl. • Что находится в этих пакетах? Использование TLSTLS является протоколом более высокого уровня, чем SSL, и использует последний. При использовании TLS также возникает необходимость создания и обмена сертификатами и ключами SSL. TLS предотвращает возможность подмены сервера и шифрует данные при передаче. Для использования TLS необходимо указать файл ключа и сертификата. Если этот файл является /etc/openldap/ldap.pem, то в файл конфигурации slapd.conf надо добавить установки, показанные в примере 32.26. Пример 32.26. Включение TLS в файле конфигурации slapd.conf Файл /etc /openldap/ldap.pem является самоподписанным сертификатом, который обычно генерируется при установке OpenLDAP. Если такой сертификат отсутствует или не устраивает, то необходимо создать другой сертификат. Для создания ключа необходимо выполнить команду, показанную в примере 32.27. Пример 32.27. Создание ключа openssl genrsa -out Idap.key 1024 В файле Idap.key будет находиться ключ. Далее, используя полученный на предыдущей стадии ключ, необходимо создать файл CSR (Certificate Signing Request, запрос на подпись сертификата) – пример 32.28. Пример 32.28. Создание запроса на подпись сертификата При выполнении этой команды пользователю будут заданы вопросы о названии компании, ее местонахождении и проч. Эта информация должна быть проверена Агентством Сертификации для выдачи сертификата. Внимание! В поле cn должно быть введено полное доменное имя (FQDN) сервера LDАР, например, black, class . edu. Файл CSR должен быть передан для подписи в коммерческое сертификационное агентство (например, в Thawte или VerySign). Если используется приватное сертификационное агентство, то CSR может быть обработан при помощи команды, показанной в примере 32.29. Пример 32.29. Подпись сертификата В этом случае будет создан файл ldap.cert, содержащий подписанный ключом сертификационного агентства (сертификат агентства в файле ca.cert, a приватный ключ агентства – в файле са.кеу) публичный сертификат сервера LDAP. Сертификат и приватный ключ собственного (приватного) сертификационного агентства могут быть созданы с помощью команд, показанных в примере 32.30. Пример 32.30.Создание сертификата приватного СА Содержимое сертификата LDAP-сервера может быть проверено с помощью команды, показанной в примере 32.31. Пример 32,31 Получение содержимого сертификата сервера В файле конфигурации slapd.conf следует установить имена файлов ключа, сертификата и сертификата агентства (пример 32.32). Пример 32.32. Настройка сертификатов в slapd.conf Файл /etc/openldap/ldap.conf, настраивающий поведение клиентских программ Openldap (ldapsearch и проч.), должен быть настроен на использование TLS (пример 32.33). Пример 32.33. Настройка /etc/openldap/ldap.con Файл /etc/ldap.conf, содержащий настройки для nss_ldap, также должен учитывать использование TLS (пример 32.34). Пример 32.34. Включение TLS в /etc/ldap.conf Задания • Создайте ключ и сертификат собственного агентства сертификации. • Создайте ключ и запрос на сертификацию для сервера. Подпишите запрос на сертификацию и создайте сертификат сервера. • Измените конфигурацию slapd.conf и запустите сервер LDAP с измененными настройками. • Настройте файл /etc/openldap/ldap.conf на использование TLS, Опробуйте работу команды Idapsearch. • Настройте файл (только в случае успешного выполнения предыдущего задания) /etc/ldap.conf на использование TLS и опробуйте аутентификацию, например, командой id. |
Методическое пособие для врачей Санкт-Петербург 2007 В. Г. Беспалов, д м н., старший научный сотрудник, руководитель группы химиопрофилактики рака фгу "нии онкологии им. Н. Н. Петрова... | Новые поступления 2 Сельское хозяйство 2 Общие вопросы сельского хозяйства 2 Агрофизический научно-исследовательский институт (Санкт-Петербург). Материалы координационного совещания Агрофизического института,... | ||
Программа по формированию навыков безопасного поведения на дорогах... Рабочая программа учебного курса информатики для 4 класса (далее Рабочая программа) составлена на основе программы курса информатики... | Программа по формированию навыков безопасного поведения на дорогах... Рабочая программа учебного курса информатики для 4 класса (далее Рабочая программа) составлена на основе программы курса информатики... | ||
Специальная /коррекционная/ общеобразовательная школа (VII вида)... Субъект Российской Федерации Санкт-Петербург, в лице Комитета по Образованию Санкт-Петербурга. Место нахождения Учредитель -1: 190000,... | Экскурсионные туры в карелию Санкт- петербург приозерск – ладожское озеро валаам – сортавала – парк «рускеала» олонец александро-свирский монастырь старая ладога... | ||
Dhl открывает новое сервисное отделение в Санкт-Петербурге Санкт-Петербург, 20 марта 2008 г Санкт-Петербург, 20 марта 2008 г. Компания dhl, мировой лидер в области экспресс-доставки и логистики, расширяет свое присутствие... | Реферата «г. Санкт-Петербург, как символ новой культуры, великое... Актуальность темы. Санкт-Петербург один из основных смысловых образов русской культуры. Это город-программа, город-концепция, имеющий... | ||
Учебно-методический комплекс по специальности: 080801. 65 Прикладная... Сетевое администрирование: Учебно-методический комплекс /Автор сост. Г. М. Аванесов спб.: Ивэсэп, 2010 | Тип урока: комбинированный урок с применением икт. Цели Оборудование: пк, учебники: Тур С. Н., Бокучава Т. П информатика: 2 класс, спб: бхв-петербург, 2008; изображения фигур | ||
Москва Санкт-Петербург 2007 Вопросы вокального образования: Методические... Редактор-составитель – кандидат педагогических наук, профессор рам им. Гнесиных М. С. Агин. М. Спб., 2007 | Разгрузочно-диетическая терапия (лечебное голодание) и редуцированные... | ||
Чуянова е. В. Уровень свободнорадикального окисления в ферментативной... | Патентам и товарным знакам (19) Санкт-Петербург, ул. Политехническая, 29, Санкт-Петербургский гту (цпи), С. В. Козыреву | ||
Реальное и виртуальноЕ в медиапространстве современности Санкт-Петербургский Гуманитарный университет профсоюзов, г. Санкт-Петербург, Россия | За 2011 год Санкт-Петербург 2011г Показатели административных правонарушений по районам Санкт-Петербурга в 2010 году 47 |